裝好前面我說的一大堆什麼IIS SERV-U SQL2000 PHP MYSQL這些東西.
一般人,也就是用這些服務吧???
1,本地安全性原則或者網卡那裡做連接埠限制
本地安全性原則:
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些連接埠(SERV-U,一般開放9000-9049這50個連接埠)
外->本地 3389
然後按照具體情況.開啟SQL SERVER和MYSQL的連接埠
外->本地 1433
外->本地 3306
本地->外 80
除了明確允許的一律阻止.這個是安全規則的關鍵.
外->本地 所有協議 阻止
網卡連接埠限制:
<img src="attachments/month_0703/k200731715121.jpg" border="0" alt=""/>
填寫相應的TCP連接埠,如WEB用到80連接埠,SERV-U用到21連接埠,遠端桌面用3389連接埠,SQLSERVER開放外網串連,用到1433連接埠,MYSQL開放遠端連線,用
到3306連接埠等,
切記:如果是開了遠程,一定要開3389連接埠啊,要不你就連不上遠程了..(如果你改了3389連接埠,就另外填寫你改的那個)
2,更改預設管理員的帳戶名稱
將administrator改名為你好記的名字,密碼設長點,,最少8位以上,,大小寫,字元等.
3,磁碟使用權限設定..
將所有盤符的許可權(如C,D,E等),全部改為只有
administrators組 全部許可權
system 全部許可權
如圖:
主要設定C盤許可權:
C盤的所有子目錄和子檔案繼承C盤的administrator(組或使用者)和SYSTEM所有許可權的兩個許可權
修改
C:/Program Files/Common Files 開放Everyone 預設的讀取及運行 列出檔案目錄 讀取三個許可權
C:/WINDOWS/ 開放Everyone 預設的讀取及運行 列出檔案目錄 讀取三個許可權
C:/WINDOWS/Temp 開放Everyone 修改,讀取及運行,列出檔案目錄,讀取,寫入許可權
如圖:
這三個目錄許可權都是這樣設定
Everyone 許可權,很多地方都有,現在,我們一個一個找他們出來,刪了!!
C:/Documents and Settings下All Users/Default User目錄及其子目錄,這個比較煩,要認真找找喔.
C:/WINDOWS/PCHealth
C:/windows/Installer
現在WebShell就無法在系統目錄內寫入任何檔案了,如木馬,EXE等等.
當然也可以使用更嚴格的許可權.
在WINDOWS下分別目錄設定許可權.
可是比較複雜.效果也並不明顯.而且,,還會很容易頭暈..(比如我 ^O^)
4,設定系統EXE檔案許可權
開啟c:/windows 搜尋:
net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;
ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;
runonce.exe;syskey.exe
修改許可權,刪除所有的使用者只儲存Administrators 和SYSTEM為所有許可權
如圖: